Regeln für Passwörter
- Je länger desto besser, mnd. 13, besser 20
- Sonderzeichen, Zahlen, Großbuchstaben, Kleinbuchstaben
- Zeichenabfolge soll zufällig sein.
- einmalig (Keine Mehrfachverwendung von Passwörtern für verschiedene Accounts)
- sicher speichern
- unzugänglich für andere
Passwörter speichern
Unter Linux in /etc/shadow (Nur Root lesbar)
Die Passwörter werden gehashed gespeichert. Die Hashes können nicht zurück gerechnet werden.
Linux speichert Passwort-Hashes immer in der Datei /etc/shadow. Sie ist nur für root lesbar. Im Bildschirmfoto oben steht nach dem Benutzernamen al s Abkürzung für den Hash-Algorithmus SHA-512. Darauf folgen einige Zeichen mit dem Salz und nach dem nächsten Dollar-Zeichen der Passwort-Hash. Das erste Zeichen nach dem Hash ist ein Doppelpunkt.
Rainbow Tables
- Liste mit Passwörtern und deren Hash-Werten (für einen bestimmten Hash-Algorithmus)
- Zum „Nachsehen“, welche Hash-Werte zu welchen Passwörtern gehören.
Salt
- Vor dem Anwenden der Hash-Funktion wird dem Passwort noch eine Zeichenkette hinzugefügt.
- Bsp. für Zeichenkette: Nutzername
- Speicherort: Auf dem System, auf dem die ge-hashten Passwörter liegen.
Pepper
Wie Salt, nur die dem Passwort hinzugefügte Zeichenkette wird auf einem anderen System gespeichert
Wordlist
- Wörter, die häufig für Passwörter verwendet werden.
- Kann für zu hackende Zielpersonen angepasst werden.
Wörterbuchattacken
- Wörter eines Wörterbuchs werden als Passwort ausprobiert.
Brute-Force Attacken
- Alle Buchstaben-Zahlen-Zeichenkombinationen ausprobieren.
Social Engineering
- Es wird versucht, eine Person zu manipulieren, um Zugang(sdaten) zu erhalten.
Diceware-Verfahren
Siehe Wikipedia / Kuketz-Blog